Was zunächst wie ein geschickter Marketing-Coup von Anthropic wirkte, hat sich mittlerweile als handfeste technische Realität erwiesen: Das KI-Modell Mythos, das der US-amerikanische KI-Konzern speziell auf das Aufspüren von Sicherheitslücken in Quellcode trainiert hat, hat tatsächlich eine bislang unbekannte Schwachstelle im weitverbreiteten Kommandozeilen-Tool curl gefunden. Das ist keine Kleinigkeit – curl ist in praktisch jeder Linux-Distribution, in macOS und unzähligen eingebetteten Systemen weltweit enthalten und wird täglich von Milliarden von Geräten genutzt.
Mythos: Das KI-Modell, das Anthropic (noch) nicht freigibt
Bereits im April 2026 sorgte Anthropic mit der Ankündigung von Mythos für erhebliches Aufsehen in der Security-Community. Das Unternehmen beschrieb das Modell als außergewöhnlich leistungsfähig beim Analysieren von Quellcode auf Sicherheitsprobleme – so leistungsfähig, dass man es bewusst nicht für die breite Öffentlichkeit freigeben wollte. Stattdessen erhielten zunächst nur ausgewählte Unternehmen Zugang, um ihnen einen zeitlichen Vorsprung beim Patchen kritischer Schwachstellen zu verschaffen, bevor das Modell allgemein verfügbar wird. Diese Entscheidung ist nachvollziehbar: Ein KI-Modell, das zuverlässig Zero-Day-Lücken findet, wäre in den falschen Händen ein mächtiges Angriffswerkzeug.
Im Rahmen einer Kooperation mit der Linux Foundation erhielten auch ausgewählte Open-Source-Projekte Zugang zu Mythos. curl-Hauptentwickler Daniel Stenberg wurde über diesen Kanal kontaktiert und bekam die Möglichkeit, das Modell auf seinen Code loszulassen. Das Ergebnis: Mythos identifizierte tatsächlich eine reale, bisher unbekannte Sicherheitslücke im curl-Codebase.
Was bedeutet das für die Softwareentwicklung?
Der Vorfall markiert einen potenziellen Wendepunkt in der Welt der IT-Sicherheit. Bislang war das manuelle Code-Audit durch erfahrene Sicherheitsforscher der Goldstandard beim Aufspüren von Schwachstellen. KI-Tools konnten dabei assistieren, aber selten eigenständig valide, neue Lücken in hochgradig geprüftem Code wie curl finden. Curl ist seit Jahrzehnten in aktivem Einsatz, wurde unzählige Male auditiert und gehört zu den meistgescannten Open-Source-Projekten überhaupt. Dass ein KI-Modell hier dennoch fündig wird, ist bemerkenswert.
Für Entwickler und Sicherheitsteams bedeutet das zweierlei: Einerseits eröffnen sich neue Möglichkeiten, die eigene Codebasis proaktiv und in großem Maßstab auf Schwachstellen zu untersuchen. Andererseits wächst das Risiko, dass dieselbe Technologie auch von Angreifern eingesetzt wird, sobald sie breiter verfügbar ist. Die Entscheidung von Anthropic, Mythos zunächst nur kontrolliert zu verteilen, ist daher nicht nur ein PR-Manöver, sondern auch eine ethische Abwägung.
Ein neues Kapitel in der Vulnerability-Forschung
Die Sicherheitsbranche beobachtet diese Entwicklung mit gemischten Gefühlen. Einerseits könnten KI-gestützte Analysetools dazu beitragen, die chronische Unterbesetzung in Security-Teams zu kompensieren und die schiere Menge an täglich produziertem Code überhaupt erst beherrschbar zu machen. Andererseits droht ein Wettrüsten: Angreifer, die Zugang zu ähnlichen Modellen erhalten, könnten Exploits in einem bisher unvorstellbaren Tempo entwickeln. Der Fall Mythos und curl zeigt eindrücklich, dass KI in der Lage ist, selbst in kampferprobtem, intensiv geprüftem Code neue Angriffsvektoren zu finden – und das sollte die gesamte Branche aufhorchen lassen.
Quellen: Hacker News